觀點

企業需要專職獨立的資安部門

2017 / 02 / 10
編輯部
企業需要專職獨立的資安部門
很多人聽到資訊安全,馬上直覺反應這個議題很重要,然後以為就是在做電腦病毒防範之類的工作。但有參與過資訊安全工作的都知道,資安議題其實普遍存在企業各個資訊應用的環節之中。
例如在軟體開發上,最簡單就是要知道誰更新了程式版本。硬體架構上,則可能因為硬體容量不足而導致系統無法正常運作。而在無國界的網際網路中,我們無法得知所面對的敵人到底身在何方,所以網路更與資安息息相關;再加上異常事件通報、災害復原演練等,這些都與資安工作有所關連。
甚至以較嚴格的角度來看,所有IT相關的作業都應有一定的安全考量;但相對的,也可能會影響到組織日常流程的運作。如果又剛好發生一些重大的資訊安全事件,對於資訊安全的需求就會更加的提高。

資安工作需打破部門間的本位主義
當瞭解資訊安全的重要性後,接著討論的就是該由那一個單位負責?幾年前某企業曾發生過一個案例,為了配合新業務的上線,公司經過多方討論後決定直接向外購買軟體,然後再由程式開發部門進行客制化的修改,以符合新業務的需求。

但直到正式上線前的會議,負責主管把系統、網路的同仁全部召集起來,才知道系統的修補程式尚未更新,而如果要馬上進行更新則會一併影響到應用系統。同時還發現原先廠商在設計時,為瞭解決網路流量的問題,對外開放了整個區段的通訊埠,這些問題都直到在上線前才被注意到。

這時程式設計部門覺得要改程式已來不及,建議按照原先規劃的時間點上線。但系統部門及網路部門在安全與系統穩定的考量下,認為不應倉促上線,且在此同時還要背負著業務單位的壓力。最後是經過資訊安全部門的協調,先在預定的時程內上線,但同時也需要建立後續的補償性控制,且要求程式開發單位在期限內將程式修改完畢。 

在這個例子中很明顯看見,程式開發部門、系統部門以及網路部門都有各自的考量。這些考量有些是基於專業的立場,有些則是現實面的考量,但卻忽略了彼此之間的關聯性,同時對於資訊安全的著墨,看起來還有很多需要加強的地方。由這個例子就可說明,在企業廣泛應用資訊科技的今天,組織內應該設有專責的資訊安全單位,以統合不同部門間的運作,為企業在資訊安全與營運效益中找到一個最佳的平衡點。

做為企業內部橫向溝通的橋樑
資訊安全單位需要負責的業務包含那些?在過去不論是程式開發部門、系統部門或是網路部門,這些單位的員工都需要相對深入的專業技能。但資訊安全部門卻不同,這個部門的人員不一定要專精某些特定領域,但卻需要接觸很多方面的專業知識,相對的所熟悉的深度也就不會那麼深。這也意謂負責資訊安全的人員需要瞭解軟體開發、軟體工程,也要懂網路架構、駭客攻擊手法,甚至對硬體的特性也得有所認識。從組織架構的角度來看,資安單位是一個橫向聯絡溝通的部門,也就是要將原有的資訊單位串聯起來,才能構築資訊的整體防護,但這也是資安部門目前面臨的重要挑戰。

在專業能力方面,除了過往的IT技術外,資訊安全單位對於新興科技的進步與利用,包括雲端、行動設備、大數據分析等,都需要涉獵相關的知識。除了這些議題,其他像物聯網、Fintech、Bank 3.0這種與產業面相關的知識與技能,也要有所接觸。也就是說,從底層作業系統的中大型主機與開放平台,到應用軟體的傳統Cobol和APP等,資安部門要對各項資訊技術都有所認識,才能做為資訊單位內部溝通的橋樑。另一方面,對於業務部門的需求也需要明瞭,以成為資訊部門與使用者單位間的協調管道;也正因如此,資安部門所負責的工作和以往在學校課程中所學往往有所出入,但這也是在談到企業風險管理中相當重要的一環,由此更加顯得這個部門的重要性。

常設獨立單位的必要
前面提到的是資安部門的專業技能,但這個單位在組織中需要如何安置?在國外有些組織會將資安部門放在企業安全部下,以全盤掌握企業所面臨的各項風險威脅。有些組織則是將資安部門獨立出來,做為總經理辦公室裡的幕僚單位,或是乾脆獨立成一個部門單獨運作。但不管是採用何種方式,和台灣企業最大不同的是,這個單位絕對是一個常設組織,而不是一個任務性的編組。

至於兩者間的差異,在於任務性的編組如果沒有適當的工作交接,很容易流於形式化或是累績經驗無法持續的傳承。另外就組織倫理的觀念來看,這個部門應該和資訊單位是處於平行的地位,而不是在資訊部門下所屬的某一個單位。 

因為資安部門有一項很重要的工作是要進行日常資訊活動的監控,一旦發現了異常狀況反應出來,勢必對其他同單位人員的工作造成影響。如果資安是資訊部門的附屬單位,當彼此有利益衝突發生時,直屬的資訊部門主管有可能會特意忽略這些威脅警示;甚至是表面上敷衍配合,但到年終評定員工績效表現時給予負面價。從管理角度來看,報喜不報憂本來就是一種人性的弱點,如果礙於這些壓力而無法實際發揮資安部門的功效,這個部門反會成為人才高度折損的地方。 

資訊科技使用越多的企業組織,愈應該考量設立一個專屬的資訊安全單位。而資安單位要能夠真正發揮功效,除了不能淪為虛應故事的裝飾部門外,更重要的是高階主管要能正視資安議題,發揮資安部門對企業風險控管的正面助益,才能展現專屬資訊安全單位的重要性與必要性。